Prezes UODO nie może wierzyć na słowo administratorowi

20.06.2021

Kolejny wyrok WSA pokazuje jak ważne jest prawidłowe przeprowadzanie dowodów w postępowaniu administracyjnym. W wyroku z kwietnia 2021 r. wskazany Sąd stwierdził, że Prezes UODO dopuścił się naruszenia przepisów procedury administracyjnej poprzez przyjęcie:

“iż spółka I. sp. z o.o. z siedzibą w W., jako administrator danych, spełniła obowiązek, o którym mowa w art. 15 ust. 3 RODO, udostępniając skarżącemu kopię wnioskowanych przez niego danych osobowych podlegających przetwarzaniu, w tym kopii nagrań z infolinii”.

Jaki był stan faktyczny w przedmiotowej sprawie?

Klient Autoryzowanej Stacji Obsługi (ASO), prowadzonej przez pewną spółkę, zażądał od niej jako administratora jego danych osobowych udostępnia nagranych zapisów dźwiękowych z przeprowadzonych rozmów telefonicznych z należących do niego numerów, których jest abonentem, a które zrealizowane zostały z ASO […] w S. oraz kopii dokumentów ekspertyzy rzeczoznawcy P.H. powołanego przez spółkę I. sp. z o.o. 

Spółka, w swojej odpowiedzi na skargę skierowaną do Prezesa UODO, stanęła na stanowisku, że wykonała wniosek Klienta dotyczący art. 15 ust. 1 i ust. 3 RODO, gdyż przekazała mu pendrive z kopią jego danych osobowych, zawierającą historię napraw samochodu oraz treść rozmów telefonicznych z pracownikami spółki. Niestety jednak, jak wskazał administrator danych, pracownicy spółki wydali skarżącemu kopię danych osobowych, ale nie odebrali od niego pisemnego potwierdzenia otrzymania wspomnianego wyżej pendrive’a z jego danymi osobowymi.

W tej sytuacji, jak podniósł administrator danych, pracownicy spółki, z uwagi na fakt osobistego wręczenia skarżącemu kopii jego danych osobowych oraz rozmowy w salonie spółki, poprzestali na ustanym udzieleniu stosownych informacji. Spółka poinformowała organ nadzorczy, iż pouczyła pracowników o konieczności przestrzegania procedur w zakresie ochrony danych osobowych.

Klient, który zapoczątkował postępowanie przed Prezesem UODO był innego zdania i wskazała, że pomimo zapewnień ze strony spółki I. sp. z o.o. – podmiot ten nie udostępnił dotychczas kluczowych rozmów, których dotyczył wniosek skarżącego o udostępnienie nagrań. Jednocześnie, skarżący zarzucił, że administrator danych nie udostępnił również ekspertyzy technicznej sporządzonej przez rzeczoznawcę bez jego wiedzy i udziału. Ponadto, skarżący wyjaśnił, iż spółka I. sp. z o.o., jako administrator danych, nie odbierała od skarżącego oświadczenia o zgodzie na przetwarzanie jego danych osobowych, w tym w szczególności na nagrywanie jego rozmów telefonicznych. Zdaniem skarżącego, spółka nie wyjaśniła również, jaki był cel zbierania tychże nagrań.

Jaką decyzję podjął Prezes UODO?

W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych – działając na podstawie art. 104 § 1 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. oraz w zw. z art. 15 ust. 1 i ust. 3 w zw. z art. 58 ust. 2 RODO – odmówił uwzględnienia wniosku strony skarżącej.

W uzasadnieniu wydanej decyzji Prezes UODO zauważył na wstępie, że organ nadzorczy, wydając decyzję administracyjną, zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Reguła ta, jak podniósł organ nadzorczy, odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania.

Prezes UODO zauważył, iż w trakcie prowadzonego postępowania ustalono, że spółka I. sp. z o.o. udostępniła skarżącemu informacje na temat przetwarzania jego danych osobowych, a także systematycznie realizowała wnioski skarżącego w zakresie art. 15 ust. 1 i ust. 3 RODO.

Organ nadzorczy uznał, że spółka przekazała skarżącemu kopię jego danych osobowych, w tym rozmów telefonicznych, w formie plików zapisanych na nośniku, jakim jest pendrive. Prezes UODO zauważył jednocześnie, że spółka nie przekazała natomiast kopii ekspertyzy sporządzonej przez rzeczoznawcę P.H., wskazując, że dokument ten nie zawiera danych osobowych skarżącego oraz stanowi wewnętrzny dokument spółki.

Organ nadzorczy podniósł, że wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi, w rozumieniu art. 4 pkt 1 RODO. Prezes UODO uznał zatem, że nie ma konieczności udostępniania każdego z posiadanych dokumentów, jeżeli zakres danych, który jest w nich zawarty jest taki sam.

Organ nadzorczy podkreślił również, że w przypadku zwrócenia się do administratora danych o kopię przetwarzanych danych osobowych, administrator danych każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. Zdaniem Prezesa UODO, administrator danych może dokonać wyboru, czy udostępnia kopię dokumentów, czy też udostępnia kopię danych zawartych w tych dokumentach.

Mając powyższe na uwadze, Prezes UODO stwierdził, iż spółka I. sp. z o.o. w prawidłowy sposób wykonała żądanie Skarżącego określone w art. 15 ust. 1 oraz ust. 3 RODO.

Czemu Sąd miał inny pogląd? 

Sąd uznał, że Prezes UODO, wydając sporną decyzję z dnia […] czerwca 2020 r., dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej decyzji administracyjnej:

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga M.L. zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia […] czerwca 2020 r. odmawiająca uwzględnienia wniosku skarżącego w sprawie zainicjowanej jego skargą na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego przez spółkę I. sp. z o.o. z siedzibą w W. – narusza w sposób istotny obowiązujące przepisy prawa.

oraz

Analizując niniejszą sprawę, Sąd doszedł do wniosku, że organ nadzorczy, wydając przedmiotową decyzję z dnia […] czerwca 2020 r., dopuścił się przede wszystkim – mogącego mieć zasadniczy wpływ na wynik sprawy – naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, polegającego przede wszystkim na przekroczeniu granic swobodnej oceny dowodów i w konsekwencji błędnym przyjęciu, że z zebranego w sprawie materiału dowodowego wynika jednoznacznie, że spółka I. sp. z o.o. z siedzibą w W., jako administrator danych, spełniła obowiązek, o którym mowa w art. 15 ust. 3 RODO, udostępniając skarżącemu kopię wnioskowanych przez niego danych osobowych podlegających przetwarzaniu.

Jednocześnie, Sąd uznał, że – wbrew stanowisku organu nadzorczego – przyjąć należy również, iż wydając sporną decyzję administracyjną kończącą postępowanie zainicjowane skargą M.L. z dnia […] grudnia 2019 r., Prezes UODO w sposób nieprawidłowy ocenił całość zarzutów strony skarżącej, ograniczając się jedynie do zbadania kwestii wywiązania się przez administratora danych z obowiązku, o którym mowa w art. 15 ust. 3 RODO, bez sprawdzenia tym samym, czy w rozpatrywanej sprawie nie doszło do podnoszonego przez skarżącego naruszenia polegającego na przetwarzaniu jego danych osobowych bez zgody osoby, której dane dotyczą, a więc bez ustalenia w toku postępowania sprawdzającego, czy nie doszło do naruszenia art. 6 ust. 1 lit. a RODO.

Tym samym, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną – dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Przechodząc do oceny legalności zaskarżonej decyzji, należy zauważyć na wstępie, że przedmiotem sporu była zarówno kwestia prawidłowości ustaleń organu nadzorczego w zakresie samego zakwalifikowania działań podjętych przez spółkę I. sp. z o.o. z siedzibą w W., będącą administratorem danych, jako działań wypełniających obowiązek, o którym mowa w art. 15 ust. 3 RODO, jak również kwestia prawidłowości objęcia postępowaniem wyjaśniającym organu nadzorczego wszystkich stawianych przez skarżącego zarzutów dotyczących działań wskazanego administratora, a w konsekwencji ocena zasadności odmowy uwzględnienia wniosku skarżącego o podjęcie wobec wskazanej wyżej spółki prawnie wiążącego środka naprawczego, o którym mowa w art. 58 RODO, czy też nałożenia na wspomnianą spółkę stosownej kary pieniężnej, o której mowa w art. 83 RODO.

Warto też wskazać, że :

Jeżeli zatem określona osoba zgłasza Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłowości w zakresie przetwarzania swoich danych osobowych, organ ten jest zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, a jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów zarówno RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Otóż, Prezes Urzędu Ochrony Danych Osobowych, rozpatrując skargę M.L. z dnia […] grudnia 2019 r., zobowiązany był dokonać oceny, czy w sprawie doszło w ogóle do przetwarzania danych osobowych skarżącego, a w konsekwencji, czy ewentualnie sporne przetwarzanie – o ile do niego rzeczywiście doszło – było zgodne z prawem, przy jednoczesnym uwzględnieniu okoliczności przetwarzania tych danych, jeśli miało ono miejsce, a także przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

W tej sytuacji, mając na względzie powyższą definicję przetwarzania, Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, zobowiązany był, analizując wniesioną w dniu […] grudnia 2019 r. skargę, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływane przez skarżącego naruszenia praw wynikających z RODO zostały udowodnione.

Wyrok ten jest także ciekawy z innego powodu.

WSA porusza temat budzący kontrowersję, a dotyczący zależności między postępowaniem przed Prezesem UODO wszczętym na podstawie art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a postępowaniem kontrolnym, o którym mowa w rozdziale 9 w/w ustawy i ich wzajemnej korelacji. 

Sąd wskazuje:

Użyte w art. 60 u.o.d.o. określenie “naruszenie przepisów o ochronie danych osobowych” ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

W tym miejscu, należy oczywiście wyraźnie zauważyć, że postępowanie kontrolne jest postępowaniem odrębnie uregulowanym w ustawie, nie mają do niego zastosowania przepisy Kodeksu postępowania administracyjnego, albowiem art. 7 ust. 1 u.o.d.o. nie wymienia postępowania uregulowanego w rozdziale 9 cyt. ustawy. Niemniej jednak, wskazać trzeba, że zebrany w toku kontroli materiał dowodowy będzie materiałem podlegającym ocenie w postępowaniu, dla potrzeb którego został zebrany, czyli postępowaniu o charakterze administracyjnym, do którego zastosowanie znajdują przepisy Kodeksu postępowania administracyjnego i zgodnie z kodeksowymi zasadami oceny materiału dowodowego (tak również: Iwona Bogucka /w:/ Ustawa o ochronie danych osobowych. Komentarz, pod red. dr. Dominika Lubasza, WKP 2019, teza 4 komentarza do art. 68 u.o.d.o.).

W tej sytuacji, w ocenie Sądu, uznać należy, iż Prezes UODO nie powinien dokonywać swoich ustaleń faktycznych opierając się wyłącznie na wyjaśnieniach jednej strony (administratora danych), skoro – wbrew tym ustaleniom – skarżący twierdzi, że w rzeczywistości spółka I. sp. z o.o. do dnia wniesienia skargi do WSA w Warszawie nie udostępniła kluczowych nagrań (tj. nagrań z okresu od dnia […] marca do dnia […] kwietnia 2019r. oraz nagrania z dnia […] czerwca 2019r.), co było głównym powodem wniesienia skargi do Prezesa UODO.

Warto jednocześnie zauważyć, iż organ nadzorczy, opierając się wyłącznie na wyjaśnieniach wskazanej wyżej spółki, zignorował również fakt, iż brak jest jednoznacznych dowodów na okoliczność przekazania kopii danych osobowych (rzekomo przekazanych skarżącemu w postaci zapisu dźwiękowego na urządzeniu przenośnym pendrive, na który organ powołał się w uzasadnieniu spornej decyzji).

Jednocześnie, Sąd uznał, że wydając zaskarżoną decyzję administracyjną, Prezes UODO w sposób nieprawidłowy ograniczył się jedynie do zbadania kwestii wywiązania się przez administratora danych z obowiązku, o którym mowa w art. 15 ust. 3 RODO, bez sprawdzenia tym samym, czy w rozpatrywanej sprawie nie doszło do podnoszonego przez skarżącego zarówno w skardze z dnia […] grudnia 2019 r., jak i piśmie z dnia […] marca 2020 r. naruszenia polegającego na przetwarzaniu jego danych osobowych bez zgody osoby, której dane dotyczą, a więc bez ustalenia w toku postępowania sprawdzającego, czy nie doszło do naruszenia art. 6 ust. 1 lit. a RODO.

Jestem ciekaw jak Prezes UODO podejdzie w drugim rozdaniu do przedmiotowej sprawy – czy zdecyduje się na przeprowadzenie kontroli przestrzegania przepisów zgodnie z rozdziałem IX ustawy ODO?